“JIS Q 27001:2006(ISO/IEC 27001:2005) 情報セキュリティマネジメントシステム−要求事項”に規定されているものはどれか。
ア |
ISMSが適切に運用されているかどうかを評価するために、定期的に外部監査を受けなければならない。 |
イ |
経営者の責任が重要であり、コミットメント、経営資源の提供、マネジメントレビューなどに関与しなければならない。 |
ウ |
附属書の管理策は、すべて適用しなければならない。 |
エ |
リスクアセスメントで明らかになったすべてのリスクに対し、リスク管理策を適用しなければならない。 |
答え イ
【解説】
ア |
情報セキュリティマネジメントシステムとして、外部監査は義務化されていません。ただ、ISMSの審査を得るには外部監査が必要です。 |
イ |
情報セキュリティマネジメントシステムは、マネジメントシステム(管理システム)ですので、経営層の参画が重要になります。 |
ウ |
附属書の管理策をすべて実施することは要求されていません。 |
エ |
すべてのリスクに対し管理策を適用する必要はありません。(現実的にはできません。) |
【キーワード】
・情報セキュリティマネジメントシステム
【キーワードの解説】
- 情報セキュリティマネジメントシステム(Information Security Management System、ISMS)
個別の問題毎の技術対策の他に、セキュリティについてのマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランをたて、資源を配分して、システムとして運用することです。
組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステムの基本コンセプトになります。
もっと、「情報セキュリティマネジメントシステム」について調べてみよう。
戻る
一覧へ
次へ
|